Unatoč svim prednostima vatrozida Palo Alto Networks, na RuNetu nema mnogo materijala o postavljanju ovih uređaja, kao ni tekstova koji opisuju iskustva njihove implementacije. Odlučili smo sažeti materijale koje smo prikupili tijekom rada s opremom ovog dobavljača i govoriti o značajkama s kojima smo se susreli tijekom provedbe različitih projekata.
Kako bismo vam predstavili Palo Alto Networks, ovaj članak će pogledati konfiguraciju potrebnu za rješavanje jednog od najčešćih problema vatrozida - SSL VPN za udaljeni pristup. Također ćemo govoriti o uslužnim funkcijama za opću konfiguraciju vatrozida, identifikaciju korisnika, aplikacije i sigurnosna pravila. Ako je tema zanimljiva čitateljima, u budućnosti ćemo objaviti materijale koji analiziraju Site-to-Site VPN, dinamičko usmjeravanje i centralizirano upravljanje pomoću Panorame.
Vatrozidi Palo Alto Networks koriste niz inovativnih tehnologija, uključujući App-ID, User-ID, Content-ID. Korištenje ove funkcionalnosti omogućuje vam da osigurate visoku razinu sigurnosti. Na primjer, s App-ID-om moguće je identificirati promet aplikacije na temelju potpisa, dekodiranja i heuristike, bez obzira na priključak i protokol koji se koristi, uključujući unutar SSL tunela. User-ID vam omogućuje identifikaciju mrežnih korisnika putem LDAP integracije. Content-ID omogućuje skeniranje prometa i identifikaciju prenesenih datoteka i njihovog sadržaja. Ostale funkcije vatrozida uključuju zaštitu od upada, zaštitu od ranjivosti i DoS napada, ugrađeni anti-spyware, URL filtriranje, klasteriranje i centralizirano upravljanje.
Za demonstraciju ćemo koristiti izolirani stalak, konfiguracije identične stvarnoj, s izuzetkom naziva uređaja, naziva AD domene i IP adresa. U stvarnosti je sve kompliciranije - može biti mnogo grana. U ovom slučaju, umjesto jednog vatrozida, klaster će biti instaliran na granicama središnjih mjesta, a može biti potrebno i dinamičko usmjeravanje.
Korišten na stalku PAN-OS 7.1.9. Kao tipičnu konfiguraciju, razmotrite mrežu s vatrozidom Palo Alto Networks na rubu. Vatrozid omogućuje udaljeni SSL VPN pristup glavnom uredu. Domena Active Directory koristit će se kao korisnička baza podataka (slika 1).
Slika 1 – Blok dijagram mreže
Koraci postavljanja:
- Predkonfiguracija uređaja. Postavljanje imena, IP adrese upravljanja, statičkih ruta, administratorskih računa, profila upravljanja
- Instaliranje licenci, konfiguriranje i instaliranje ažuriranja
- Konfiguriranje sigurnosnih zona, mrežnih sučelja, prometnih pravila, prijevod adresa
- Konfiguriranje LDAP autentifikacijskog profila i značajke identifikacije korisnika
- Postavljanje SSL VPN-a
1. Unaprijed postavljeno
Glavni alat za konfiguriranje vatrozida Palo Alto Networks je web sučelje; moguće je i upravljanje putem CLI-ja. Prema zadanim postavkama, sučelje za upravljanje je postavljeno na IP adresu 192.168.1.1/24, prijava: admin, lozinka: admin.
Adresu možete promijeniti spajanjem na web sučelje iz iste mreže ili pomoću naredbe postavite deviceconfig sistemsku ip-adresu <> mrežnu masku <>. Izvodi se u načinu konfiguracije. Za prebacivanje u način konfiguracije koristite naredbu konfigurirati. Sve promjene na vatrozidu se događaju tek nakon što su postavke potvrđene naredbom počiniti, kako u načinu naredbenog retka tako iu web sučelju.
Za promjenu postavki u web sučelju koristite odjeljak Uređaj -> Opće postavke i Uređaj -> Postavke sučelja za upravljanje. Naziv, natpisi, vremenska zona i druge postavke mogu se postaviti u odjeljku Opće postavke (slika 2).
Slika 2 – Parametri upravljačkog sučelja
Ako koristite virtualni vatrozid u ESXi okruženju, u odjeljku Opće postavke trebate omogućiti korištenje MAC adrese koju je dodijelio hipervizor ili konfigurirati MAC adrese navedene na sučeljima vatrozida na hipervizoru ili promijeniti postavke virtualne sklopke za dopuštanje MAC promjena adresa. U suprotnom, promet neće prolaziti.
Upravljačko sučelje konfigurira se zasebno i ne prikazuje se na popisu mrežnih sučelja. U poglavlju Postavke sučelja za upravljanje navodi zadani pristupnik za sučelje upravljanja. Ostale statičke rute konfigurirane su u odjeljku virtualnih usmjerivača; o tome će biti riječi kasnije.
Da biste omogućili pristup uređaju putem drugih sučelja, morate stvoriti profil za upravljanje Profil upravljanja odjeljak Mreža -> Mrežni profili -> Upravljanje sučeljem i dodijelite ga odgovarajućem sučelju.
Zatim trebate konfigurirati DNS i NTP u odjeljku Uređaj -> Usluge za primanje ažuriranja i točan prikaz vremena (Sl. 3). Prema zadanim postavkama, sav promet koji generira vatrozid koristi IP adresu sučelja za upravljanje kao svoju izvornu IP adresu. Možete dodijeliti različito sučelje za svaku specifičnu uslugu u odjeljku Konfiguracija servisne rute.
Slika 3 – DNS, NTP i parametri usluge usmjeravanja sustava
2. Instaliranje licenci, postavljanje i instaliranje ažuriranja
Za puni rad svih funkcija vatrozida morate instalirati licencu. Probnu licencu možete koristiti tako da je zatražite od partnera Palo Alto Networksa. Rok valjanosti mu je 30 dana. Licenca se aktivira putem datoteke ili korištenjem Auth-Code. Licence se konfiguriraju u odjeljku Uređaj -> Licence (Sl. 4).
Nakon instaliranja licence, trebate konfigurirati instalaciju ažuriranja u odjeljku Uređaj -> Dinamička ažuriranja.
U odjeljku Uređaj -> Softver možete preuzeti i instalirati nove verzije PAN-OS-a.
Slika 4 – Upravljačka ploča licence
3. Konfiguriranje sigurnosnih zona, mrežnih sučelja, prometnih pravila, prijevoda adresa
Vatrozidi Palo Alto Networks koriste zonsku logiku prilikom konfiguriranja mrežnih pravila. Mrežna sučelja dodijeljena su određenoj zoni, a ta se zona koristi u prometnim pravilima. Ovaj pristup omogućuje da se ubuduće, kada se mijenjaju postavke sučelja, ne mijenjaju prometna pravila, već umjesto toga ponovno dodjeljuju potrebna sučelja odgovarajućim zonama. Prema zadanim postavkama, promet unutar zone je dopušten, promet između zona je zabranjen, za to su odgovorna unaprijed definirana pravila intrazone-default и međuzonska zadana vrijednost.
Slika 5 – Sigurnosne zone
U ovom primjeru, zoni je dodijeljeno sučelje na internoj mreži interni, a zoni je dodijeljeno sučelje okrenuto prema Internetu vanjski. Za SSL VPN stvoreno je sučelje tunela i dodijeljeno zoni VPN (Sl. 5).
Mrežna sučelja vatrozida Palo Alto Networks mogu raditi u pet različitih načina:
- Slavina – koristi se za prikupljanje prometa u svrhu praćenja i analize
- HA – koristi se za rad klastera
- Virtualna žica – u ovom načinu rada Palo Alto Networks kombinira dva sučelja i transparentno propušta promet između njih bez mijenjanja MAC i IP adresa
- Layer2 – prebaciti način rada
- Layer3 – način usmjerivača
Slika 6 – Postavljanje načina rada sučelja
U ovom primjeru koristit će se način Layer3 (Slika 6). Parametri mrežnog sučelja pokazuju IP adresu, način rada i odgovarajuću sigurnosnu zonu. Osim načina rada sučelja, morate ga dodijeliti virtualnom usmjerivaču Virtual Router, ovo je analog VRF instance u Palo Alto Networks. Virtualni usmjerivači međusobno su izolirani i imaju vlastite tablice usmjeravanja i postavke mrežnog protokola.
Postavke virtualnog usmjerivača određuju statičke rute i postavke protokola usmjeravanja. U ovom primjeru stvorena je samo zadana ruta za pristup vanjskim mrežama (slika 7).
Slika 7 – Postavljanje virtualnog usmjerivača
Sljedeća faza konfiguracije su prometne politike, odjeljak Pravila -> Sigurnost. Primjer konfiguracije prikazan je na slici 8. Logika pravila je ista kao i za sve vatrozide. Pravila se provjeravaju odozgo prema dolje, do prve utakmice. Kratak opis pravila:
1. SSL VPN pristup web portalu. Omogućuje pristup web portalu za provjeru autentičnosti udaljenih veza
2. VPN promet – omogućava promet između udaljenih veza i glavnog ureda
3. Osnovni Internet – dopušta dns, ping, traceroute, ntp aplikacije. Vatrozid dopušta aplikacije koje se temelje na potpisima, dekodiranju i heuristici, a ne na brojevima portova i protokolima, zbog čega se u odjeljku Usluga navodi zadana aplikacija. Zadani port/protokol za ovu aplikaciju
4. Web pristup – omogućava pristup internetu putem HTTP i HTTPS protokola bez kontrole aplikacije
5,6. Zadana pravila za ostali promet.
Slika 8 — Primjer postavljanja mrežnih pravila
Da biste konfigurirali NAT, koristite odjeljak Pravila -> NAT. Primjer NAT konfiguracije prikazan je na slici 9.
Slika 9 – Primjer NAT konfiguracije
Za svaki promet od unutarnjeg do vanjskog, možete promijeniti adresu izvora u vanjsku IP adresu vatrozida i koristiti adresu dinamičkog priključka (PAT).
4. Konfiguriranje LDAP autentifikacijskog profila i funkcije identifikacije korisnika
Prije povezivanja korisnika putem SSL-VPN-a morate konfigurirati mehanizam provjere autentičnosti. U ovom primjeru, autentifikacija će se dogoditi na kontroleru domene Active Directory putem web sučelja Palo Alto Networks.
Slika 10 – LDAP profil
Da bi autentifikacija radila, trebate konfigurirati LDAP profil и Autentifikacijski profil, U odjeljku Uređaj -> Profili poslužitelja -> LDAP (Sl. 10) trebate navesti IP adresu i port kontrolera domene, vrstu LDAP-a i korisnički račun uključen u grupe Operatori poslužitelja, Čitači dnevnika događaja, Distribuirani COM korisnici. Zatim u odjeljku Uređaj -> Profil provjere autentičnosti kreirajte autentifikacijski profil (Sl. 11), označite prethodno kreirani LDAP profil a u kartici Napredno označavamo grupu korisnika (slika 12) kojima je dopušten pristup na daljinu. Važno je zabilježiti parametar u svom profilu Korisnička domena, inače autorizacija temeljena na grupi neće raditi. Polje mora sadržavati naziv NetBIOS domene.
Slika 11 – Autentifikacijski profil
Slika 12 – Izbor AD grupe
Sljedeća faza je postavljanje Uređaj -> Identifikacija korisnika. Ovdje morate navesti IP adresu kontrolera domene, vjerodajnice za povezivanje i također konfigurirati postavke Omogući sigurnosni dnevnik, Omogući sesiju, Omogući ispitivanje (slika 13). U poglavlju Grupno mapiranje (Sl. 14) trebate zabilježiti parametre za identifikaciju objekata u LDAP-u i popis grupa koje će se koristiti za autorizaciju. Baš kao iu Authentication Profile, ovdje trebate postaviti parametar User Domain.
Slika 13 – Parametri mapiranja korisnika
Slika 14 – Parametri grupnog mapiranja
Posljednji korak u ovoj fazi je stvaranje VPN zone i sučelja za tu zonu. Morate omogućiti opciju na sučelju Omogući identifikaciju korisnika (Sl. 15).
Slika 15 – Postavljanje VPN zone
5. Postavljanje SSL VPN-a
Prije spajanja na SSL VPN, udaljeni korisnik mora otići na web portal, autentificirati se i preuzeti Global Protect klijent. Zatim će ovaj klijent zatražiti vjerodajnice i spojiti se na korporativnu mrežu. Web portal radi u https modu te je za njega potrebno instalirati certifikat. Koristite javni certifikat ako je moguće. Tada korisnik neće dobiti upozorenje o nevaljanosti certifikata na web mjestu. Ukoliko nije moguće koristiti javni certifikat, potrebno je izdati vlastiti koji će se koristiti na web stranici za https. Može biti samopotpisan ili izdan putem lokalnog tijela za izdavanje certifikata. Udaljeno računalo mora imati korijenski ili samopotpisani certifikat na popisu pouzdanih korijenskih autoriteta kako korisnik ne bi primio pogrešku prilikom spajanja na web portal. Ovaj će primjer koristiti certifikat izdan putem usluga certifikata Active Directory.
Za izdavanje certifikata potrebno je kreirati zahtjev za certifikat u odjeljku Uređaj -> Upravljanje certifikatima -> Certifikati -> Generiraj. U zahtjevu navodimo naziv certifikata i IP adresu ili FQDN web portala (slika 16). Nakon generiranja zahtjeva preuzmite .csr datoteku i kopirajte njezin sadržaj u polje zahtjeva za certifikat u web obrascu AD CS Web Enrollment. Ovisno o tome kako je tijelo za izdavanje certifikata konfigurirano, zahtjev za certifikat mora biti odobren i izdani certifikat mora se preuzeti u formatu Base64 kodirani certifikat. Osim toga, trebate preuzeti korijenski certifikat certifikacijskog tijela. Zatim trebate uvesti oba certifikata u vatrozid. Prilikom uvoza certifikata za web portal potrebno je odabrati zahtjev u statusu na čekanju i kliknuti uvoz. Naziv certifikata mora odgovarati nazivu prethodno navedenom u zahtjevu. Naziv korijenskog certifikata može se odrediti proizvoljno. Nakon uvoza certifikata potrebno je kreirati SSL/TLS profil usluge odjeljak Uređaj -> Upravljanje certifikatima. U profilu označavamo prethodno uvezeni certifikat.
Slika 16 – Zahtjev za certifikatom
Sljedeći korak je postavljanje objekata Global Protect Gateway и Global Protect Portal odjeljak Mreža -> Globalna zaštita... U postavkama Global Protect Gateway navesti vanjsku IP adresu vatrozida, kao i prethodno stvorenu SSL profil, Autentifikacijski profil, sučelje tunela i IP postavke klijenta. Morate navesti skup IP adresa s kojih će adresa biti dodijeljena klijentu i pristupnu rutu - to su podmreže prema kojima će klijent imati rutu. Ako je zadatak omotati sav korisnički promet kroz vatrozid, tada trebate navesti podmrežu 0.0.0.0/0 (Slika 17).
Slika 17 – Konfiguriranje skupa IP adresa i ruta
Zatim morate konfigurirati Global Protect Portal. Navedite IP adresu vatrozida, SSL profil и Autentifikacijski profil te popis vanjskih IP adresa vatrozida na koje će se klijent spojiti. Ako postoji nekoliko vatrozida, možete postaviti prioritet za svaki, prema kojem će korisnici odabrati vatrozid na koji će se povezati.
U odjeljku Uređaj -> GlobalProtect klijent trebate preuzeti distribuciju VPN klijenta s poslužitelja Palo Alto Networks i aktivirati je. Za povezivanje, korisnik mora otići na web stranicu portala, gdje će se od njega tražiti preuzimanje GlobalProtect klijent. Nakon preuzimanja i instaliranja možete unijeti svoje vjerodajnice i povezati se na svoju korporativnu mrežu putem SSL VPN-a.
Zaključak
Time je dovršen dio postavljanja za Palo Alto Networks. Nadamo se da su informacije bile korisne i da je čitatelj stekao razumijevanje tehnologija koje se koriste u Palo Alto Networksu. Ako imate pitanja o postavljanju i prijedloge o temama za buduće članke, napišite ih u komentarima, rado ćemo odgovoriti.
Izvor: www.habr.com